ГОСТ Р ИСО/МЭК 27033-1—2011
вают широкие возможности маршрутизации для направления сетевых пакетов в ЛВС нужного пункта назначения.
Обычно для связи между ЛВС используется физическая общедоступная сетевая инфраструктура, например, выде
ленные линии, спутниковая связь, или волоконно-оптические кабели. ГВС могут иметь проводную или беспровод
ную основу.
Проводные ГВС обычно состоят из устройств маршрутизации (например, маршрутизаторов), соединенных с
общедоступной или частной сетью телекоммуникационными кабелями. Беспроводные ГВС обычно используют ра
диоволны для передачи сетевых пакетов на большие расстояния — 10 километров и более.
Хотя традиционные ГВС были первоначально созданы с использованием арендуемых у провайдеров стацио
нарных (магистральных) линий связи, причем провайдер услуг выполнял минимальную управленческую деятель
ность. связанную с этими линиями связи, помимо обеспечения их функционирования, развитие технологии ГВС
привело к перекладыванию ответственности за управление на провайдера услуг, что принесло организациям выго ду.
заключающуюся в отсутствии необходимости развертывания собственной сети и управления ею. то есть ответ
ственность в обеспечении уверенности а безопасности менеджмента сети возлагается на провайдера услуг. Кроме
того, поскольку ГВС главным образом используются для направления сетевого трафика на большие расстояния,
функция маршрутизации должна быть хорошо защищена для обеспечения того, чтобы сетевой трафик не был на
правлен в ЛВС. представляющую неверный пункт назначения. Поэтому проходящий через ГВС трафик может под
вергаться перехвату лицами, имеющими доступ к инфраструктуре ГВС. Поскольку инфраструктура ГВС. по-
видимому, более доступна, чем инфраструктура ЛВС. следуетсоблюдать осторожность, обеспечивая шифрова ние
передаваемой через среду ГВС значимой информации. В договоре с провайдером услугдолжен быть оговорен
уровень безопасности, необходимый организации, который должен продемонстрировать провайдер.
А.2.2 Риски безопасности
Хотя проводные ГВС разделяют основные риски безопасности с проводными ЛВС (см. А.1), у проводной Г8С
существует больше рисков безопасности вследствие более значительной подверженности риску сетевого трафика в
ГВС. что означает необходимость наличия мер и средств контроля и управления, включая средства управления
доступом, для обеспечения того, чтобы проводную ГВС было нелегко скомпрометировать, вызывая тем самым ши
роко распространяющееся нарушение. Аналогично, хотя беспроводные ГВС разделяют основные риски безопас
ности с беспроводной ЛВС (см. А.З). они более подвержены нарушениям из-за возможностей преднамеренных
помех в системе, используемой для передачи сетевых пакетов. В целом, к основным рискам безопасности, имею
щим отношение к ГВС. относятся риски, связанные с:
- вторжением, при котором происходит раскрытие информации или не могут быть гарантированы целос
тность и (или) доступность данных.
- DoS-атаками, когда ресурсы становятся недоступными для авторизованных пользователей.
- длительным запаздыванием, которое будет оказывать влияние на такие услуги, как передача речи через IP
сервисы:
- неустойчивой синхронизацией 8 сети, которая будет оказывать влияние на качество передачи речи (вызы
ваемой главным образом использованием медных кабелей для поставки услуг);
- сбоем устройств:
- повреждением кабеля.
- устройствами с неосуществленными исправлениями программного обеспечения;
- потерей электроснабжения на транзитной площадке, затрагивающей многие другие риски.
- средствами сетевого менеджмента провайдера услуг.
А.2.3 Меры и средства контроля и управления безопасностью
Основные меры и средства контроля и управления безопасностью, необходимые для обеспечения защиты
ГВС. должны включать в себя:
- использование безопасных протоколов управления, таких как SSH. SCP или SNMPv3.
- шифрование каналов управления,
- шифрование сетевого трафика;
- реализацию безопасной аутентификации для получения доступа к устройствам ГВС с соответствующей
подачей сигнализации для устройств:
- обеспечение безопасности физического оборудования ГВС на каждой площадке, например, использование
запираемых шкафов с сигнализацией доступа;
- использование ИБП для обеспечения защиты от нарушения энергоснабжения.
-двойное соединение узлов сети/связи с использованием разных маршрутов;
- профилактический последовательный опрос устройств ГВС;
- составление схемы размещения сетевых устройств для идентификации несанкционированных устройств.
- менеджмент осуществления исправлений программного обеспечения;
- шифрованные оверлеи для значимых данных;
- получение от провайдера услуг гарантий предоставления услуг по таким вопросам, как доступность, запаз
дывание и неустойчивая синхронизация;
- реализацию процесса аудита и ведения учета сетевых ресурсов для доступа к устройствам ГВС;
- использование межсетевых экранов, отвергающих любой неожиданный входящий трафик;
- обеспечение уверенности в том. что инфраструктура и адреса являются скрытыми;
- присвоение IP-адресов, которые не могут быть маршрутизированы через Интернет;